Google kann Android-Passwörter aus der Ferne zurücksetzen

Google kann offenbar Passwörter von Android-Geräten aus der Ferne zurücksetzen. Das geht zumindest aus einem Bericht über Smartphoneverschlüsselung und öffentliche Sicherheit hervor, den der New Yorker Bezirksstaatsanwalt Cyrus Vance in der vergangenen Woche vorgelegt hat.

„Google kann nach Vorlage eines Durchsuchungsbefehls oder einer gerichtlichen Anordnung Passwörter zurücksetzen, um Strafverfolgern bei der Extrahierung von Daten zu helfen. Dieses Verfahren kann Google aus der Ferne durchführen und erlaubt forensischen Ermittlern, die Inhalte eines Geräts zu sehen“, heißt es in dem Bericht (PDF).

Allerdings räumt der Bezirksstaatsanwalt auch ein, dass diese „Hintertür“ nur für ältere Android-Geräte gilt. „Für Android-Geräte auf denen das Betriebssystem Lollipop 5.0 oder höher läuft, plant Google jedoch eine Geräteverschlüsselung ab Werk, wie sie auch Apple nutzt, die es für Google unmöglich macht, Durchsuchungsbefehle oder Gerichtsbeschlüsse für eine Datenextrahierung zu befolgen.“

Die Verschlüsselung ab Werk hatte Google im Oktober für neue Geräte mit Android 6 Marshmallow verpflichtend gemacht. Allerdings gilt das nur für Geräte, die bei einer Verschlüsselung (AES, 128 Bit) noch eine Datentransfergescheindigkeit von mindestens 50 MByte/s erreichen. Geräte, die ein Upgrade auf Android 6 erhalten, sind ebenfalls davon ausgenommen. Die ursprünglich bereits für Android 5 Lollipop geplante Verschlüsselung ab Werk sagte Google im März 2015 ab und legte die Verantwortung alleine in die Hände der Hersteller.

Trotz Googles Zusage für Android Marshmallow und der Möglichkeit, die Verschlüsselung nachträglich zu aktivieren, lassen sich die meisten Android-Geräte nicht vor einem behördlichen Zugriff schützen. Grund dafür ist die Fragmentierung des Betriebssystems. Anfang November liefen Android 5 und 6 zusammen nur auf 25,9 Prozent aller Android-Smartphones und –Tablets.

Besitzer älterer Geräte haben auch oftmals keine Möglichkeit, auf eine neuere OS-Version umzusteigen, weil der Hersteller ihres Produkts kein Update anbietet. In einigen Fällen werden vorhandene Updates zudem nur verzögert oder gar nicht von den Mobilfunkanbietern ausgeliefert, was die Zahl der Geräte, deren Passwort von Google zurückgesetzt werden kann, weiter erhöht.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Vance hatte in der vergangenen Woche auch Gesetze gefordert, die Hersteller zwingen sollen, ihre Smartphonebetriebssysteme so zu gestalten, dass Strafverfolgungsbehörden Daten jederzeit entschlüsseln können. Die Entscheidungen von Apple und Google, ihre Produkte sogar schon ab Werk zu verschlüsseln, hätten „erhebliche“ Auswirkungen auf die öffentliche Sicherheit.

Apple betonte erst vor Kurzem, dass es selbst auf Anordnung eines Gerichts nicht auf verschlüsselte Nutzerdaten zugreifen könne. „Für Geräte mit iOS 8 oder höher hätte Apple nicht die technische Fähigkeit, um dem Verlangen der Regierung nachzukommen“, heißt es in einem Schriftsatz des iPhone-Herstellers. „Zu den Sicherheitsfunktionen in iOS 8 gehört ein Feature, das jeden vom Zugriff auf die verschlüsselten Daten des Geräts ausschließt, der nicht über den Passcode verfügt. Das schließt Apple ein.“

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago